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Precede, syst^me, dispositif destines a prouver I'authenticite d'une 
entite et/ou I'integrite et/ou I'authenticite d'un message. 

La pr&ente invention conceme les precedes, les systemes ainsi que les 
dispositifs destin6s a prouver I'authenticite d'une entite et/ou l'int6grite 
et/ou I'authenticite d'un message. 

Le brevet EP 0 3 11 470 Bl dont les inventeurs sont Louis GuiUou et Jean- 
Jacques Quisquater d6crit un tel procede. On y fera ci-apres reference en le 
designant par les tennes : "brevet GQ» ou "procede GQ". Par la suite on 
designera parfois par "GQ2". "invention GQ2" ou "technologic GQ2" la 
presente invention. 

Selon le procede GQ, une entite appelee " autorit^ de confiance " attribue 
une identite a chaque entite appelee " temoin" et en calcule la signature 
RSA; durant un processus de personnaHsation, I'autorite de confiance 
donn'e identite et signature au temoin. Par la suite, le t6moin proclame : 
^^Voici man identite ij'en connais la signature RSA." Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace k la cle 
publique de verification RSA distribuee par rautorit6 de confiance, une 
entite appelee "controleur" verifie sans en prendre connaissance que la 
signature RSA correspond I'identite proclamee. Les m6canismes utilisant 
le proQm GQ se deroulent "sans transfert de connaissance". Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
I'autorite de confiance signe un grand nombre d'identites. 
Le precede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme taiUe elev6s a des puissances de I'ordre de 2'^ + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprecesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travaU Uee aux multiples operations arithmetiques impUquees par des 



precedes tels que le precede GQ, entraine des temps de calcxil qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. II est rappele id, qu*en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probleme particulierement delicat a resoudre. En efFet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n' entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend im relief 
particxilier dans la mesxare ou, en outre, il convient de tenir compte de 
r infrastructure en place et des composants microprocesseurs existants. 
La technologic GQ precedemment decrite fait appel a la technologic RSA. 
Mais si la technologic RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas ime equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses normes de signature numerique mettant en oeuvre la technologic 
RSA. 

L'objectif de la technologic GQ2 est double : d'une part, amehorer les 
performances par rapport a la technologic RSA ; d' autre part, eviter les 
probl^mes inherents a la technologic RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equivalence. Avec la technologic GQ2, la charge 
de travail est reduite, tant poiu- Tentite qui signe ou qui s*authentifie que 
poxir celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en perfonnance, la technologic GQ2 evite 
les inconvenients presentes par la technologic RSA. 

Precede 

Methode des testes chinois appliqu^e a la famille GQ 



Plus particuli^rement. 1' invention concerae un proc6d6 destine k prouver a 
une entite controleur, 

- I'authenticite d'une entit6 et/ou 

- rintegrite d'un message M associ6 a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des paramdtres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q2, ... Qm et publiques G„ G,, ... 
G„ (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers p„ 

P2» • • • Pf sup6rieur ou egal a 2), 

- vm exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont Ues par des relations 

du type : 

Gi . Qi" = 1 . mod n ou Gi s Qj* mod n ; 

Ledit procede met en ceuvre selon les etapes ci-apres definies une entite 
appelee temoin disposant des f facteurs premiers p, et/ou des parametres des 
restes chinois des facteurs premiei^ et/ou du module public n et/ou des m 
valeurs privees Qi et/ou des f.m composantes Q,, j (Qi, j = Qi mod des 
valeurs privees QiCt de I'exposant public v . 

Le temoin calcule des engagements R dans I'anneau des entiers modulo n. 
Chaque engagement est calcule en effectuant des operations du type 

R.sr,''modp, 

ou nest un alea associe au nombre premier p, tel que 0 < r, < p, , chaque r, 
app^enant a une collection d'aleas {r, , r, , ... r,} , puis en appliquant la 
methode des restes chinois, 

Ainsi, le nombre d'operations arithmetiques modulo ft a effecmer pour 
calci^er chacun des engagements R, pour chacun des p, est r6duit par 
rapport a ce qu'il serait si les operations 6taient effectuees modulo n. 
Le temoin refoit un ou plusieurs defis d. Chaque defi d comportant m 



entiers dj ci-apres appeles defis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, en.effectuant des operations du type : 

= . Q|,i . ^. ... ^ mod p; 
puis en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo pj a effectuer pour 
calculer chacune des reponses Dj pour chacun des Pj est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Le procede est tel qu'il y a autant de reponses D que de defis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R^ d, D}. 

Cas de la preuve de Pauthenticite d'une entite 
Dans xine premiere variante de realisation le procede selon T invention est 
destine a prouver I'authenticite d'une entite appelee demonstrateur a une 
entite appelee controleur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. Le demonstrateur transmet au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir re?u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et 
transmet les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de controle 

Le demonstrateur transmet chaque reponse D au controleur. 



Premier cas : ie ddmonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gj, Gj, ... 
G„, calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 
R' = G, Gj ... G„ *^ . mod n 

ou a une relation du type, 

R' = DV G, Gj G„ mod n . 

Le controleur v6rifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis. 
Deuxieme cas : le demonstrateur a transmis Tintegralit^ de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis I'int^gralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G,, Gj, ... 
G„, verifie que chaque engagement R satisfait a ime relation du type : 
R = G/^ G2 G„ . mod n 

ou a vme relation du type, 

R = DVG,''*.G2'"....G„'^.modn. 

Cas de la preuve de rint6grit6 d'un message 

dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le proc6de selon I'invention est destine a prouver k une 
entite appelee contrdleur l'integrit6 d'un message M associe a une entite 
appelee demonstrateur. Ladite entit6 demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes 

suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temom calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 
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• etape 2 : acte de d^fi d 

Le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
5 contrdleur. Le controleur, apres avoir refu un jeton T, produit des defis d 

en nombre egal au nombre d' engagements R et transmet les d^fis d au 
demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
10 processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur Le contrdleur, 
disposant des m valeurs publiques G„ G^, ... G„, calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant a 

15 xme relation du type : 

R» = Gi . G2 ... G„ . mod n 

ou une relation du type : 

R' = / Gj Gj G„ . mod n. 

Puis, le controleur appUque la fonction de hachage h ayant comme 
20 arguments le message M et tout ou partie de chaque engagement 

reconstruit R' pour reconstruire le jeton T'. Puis, le controleur verifie que le 

jeton T' est identique aujetOT T transmis. 

Signature numerique d'un message et preuve de son authenticity 

Operation de signature 
25 Dans une troisieme variante de reaUsation susceptible d'etre prise en 

combinaison avec I'une et/ou 1' autre des autres variantes de realisation, le 

procede selon I'invention est destine k produire la signature numerique 

d'un message M par une entite appel^e entite signataire. Ladite entite 

signataire comprend le temoin. 



Ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les d^fis d et/ou les engagements R, 

- les reponses D. 

Ladite entity signataire execute reparation de signature en mettant en 
oeuvre les 6tapes suivantes : 

• etape 1 : acte d' engagement R 

A chaque appel, le t^moin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. 

• etape 2 : acte de deli d 

Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des d6fis d en nombre egal au nombre 
d' engagements R. 

• 6tape 3 : acte de reponse D 

Le t^moin calcule des reponses D ^ partir des d6fis d en appliquant le 
processus specifi6 ci-dessus. 

Operation de contrdle 
Pour Tauthenticite du message M, une entity, appel6e controleur, controle 
le message sign6. Ladite entite controleur disposant du message sign6 
execute une operation de controle en procedant comme ci-aprds decrit. 
• cas ou le contrSleur dispose des engagements R, des d^fis d, des 
reponses D, 

Dans le cas ou le controleur dispose des engagements R, des d6fis d, des 
r6ponses D, le contrSleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G,".G2'"....G„'^.D^modn 

ou a des relations du type : 
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RsDV G/^ Gj ... G„ . mod n 

Puis, le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = h(M,R) 

• cas ou le contrdleur dispose des defis d et des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque r6ponse D, 
des engagements R' satisfaisant a des relations du type : 
R' = Gi . Gj ... G„ . mod n 

ou a des relations du type : 

R' s DV G, G2 G„ . mod n 

Puis, le controleur verifie que le message M et les defis d satisfont a la 

fonction de hachage 

d = h(M,R') 

• cas oii le controleur dispose des engagements R et des reponses D 

Dans le cas ou le controleur dispose des engagements R et des reponses D, 
le contrdleur applique la fonction de hachage et reconstruit d' 

d'=h(M,R) 

Puis, le controleur verifie que les engagements R, les defis d' et les reponses 

D, satisfont a des relations du type : 

R = Gi . G2 '•'^ ... G„ . D' mod n 

ou a des relations du type : 

R = D'^ / Gi . Gj "* ... G„ . mod n. 
Cas oik on choisit la valeur privee Q en premier et oii on deduit la 
valeur publique G de la valeur priv6e Q 

Dans certains, notamment afin de faciliter la production des couples de 
valours privees Q et puhliques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le proced6 selon I'invention est tel que les 
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composantes Q^-, , Q,, 2 . — Qi, f ^^^s valeurs privees sont des nombres 
tir6s au hasard a raison d'une Qomposante Q, j (Qi, j = Qi mod pj) pour 
chacun desdits facteurs premiers pj. Lesdites valeurs privees Q, peuvent 
etre calcul^es a partir desdites composantes Qi, , , Qi. 2 ... Qt, f par la 
5 m6thode des restes chinois. Lesdites valeurs publiques Q, sont calculees 

en effectuant des operations du type 

G,,j= Q,,j^modpj 
puis, en appliquant la methode des restes chinois pour etablir G, tel que 
Gj. Qi* = 1 . mod n ou Gj = Qj^mod n ; 
^ 10 Ainsi, le nombre d' operations arithm^tiques modulo p, a effectuer pour 

calculer chacun des G,, j pour chacun des Pj est reduit par rapport a ce qu'il 
serait si leis operations etaient effectu6es modulo n. 

Avantageusement dans ce cas, le proc6d6 selon I'invention est tel que 
I'exposant public de verification v est un nombre premier. On demontre 
15 que la securite est 6quivalente k la connaissance de la valeur privee Q, . 

Cas oik on choisit la valeur publique G en premier et oil on d^duit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v = 2'' 

^20 ou k est ;m parametre de securite plus grand que 1 . 

Ladite valeur pubUque G, est le carre d'un nombre de base g, inferieur 
aux f facteurs premiers p„ pj, ... Pf . Le nombre de base a est tel que les 
deux equations : 

x^sg,modn et x^s-amodn 
n'ont pas de solution en x dans I'anneau des entiers modulo n et tel que 
r equation : 

x" = gi* mod n 

a des solutions en x dans I'anneau des entiers modiilo n. 

Syst&me 



25 
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La pr^sente invention conceme egalement un systeme destine a prouver a 
xin serveur controleur, 

- I'authenticit6 d'une entite et/ou 

- rintegrit^ d'lin message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 

it 

suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Qj, Qm et publiques Gi, Gj, ... 
G„ (m etant superieur ou 6gal a 1), 

- un module public n constitue par le produit de f facteurs premiers pj, 
P2» • • • Pf superieur ou 6gal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs etant Ues par des relations 

du type : 

G,. Q,^= 1 . mod n ou G, = Qj^mod n . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteurs premiers ft et/ou des parametres des restes chinois 
des facteurs premiers et/ou du module pubUc n et/ou des m valeurs privees 
Q, et/ou des f.m composantes Q,, j (Q^ j = Qi mod pj) des valeurs privies Q, 
et de I'exposant public v. Le dispositif temoin comporte aussi : 

- des moyens de production d'al6as, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

R.srj'modpi 

ou r, est un alea associe au nombre premier Pi tel que 0 < Fj < Pi , chaque fj 
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appartenant a ime collection d'aleas {r, , , ... r^} produits par les 
moyens de production d'al6as, puis en appliquant la methode des restes 
chinois. 

Ainsi, le nombre d' operations arithm6tiques modulo p, k effectuer pour 
calculer chacun des engagements pour chacun des p, est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de r6ception 
des d6fis d du dispositif temoin, pour recevoir un ou plusieurs d6fis d ; 
chaque defi d comportant m entiers d, ci-apr6s appeles defis elementaires ; 

- des moyens de calcul, ci-apr^s design6s les moyens de calcul des 
r6ponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effecmant des operations du type : 

D. s r, . Q„ Q,^ Qi^ mod p. 

puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'opdrations aritimietiques modulo pj k effectuer pour 
calculer chacune des reponses pour chacun des r est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Ledit dispositif t6moin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d' engagements R Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de Pauthenticit6 d'une entite 
Dans une premiere variante de realisation le syst^me selon I'invention est 
destine a prouver I'autiienticite d'une entite appeiee demonstirateur a une 
entite appeiee controleur. 

Ledit systeme est tel qu'il comporte un dispositif demonstrateur associe a 
I'entite demonstrateur. Ledit dispositif demonstirateur est interconnecte au 
dispositif temoin par des moyens d'interconnexion. fl peut se presenter 
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notamment sous - la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire k 
microprocesseur. 

Ledit systeme comporte aussi un dispositif contr61e\u- associ6 k I'entite 
controleur. Ledit dispositif controleur se pr^sente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de manidre acoustique, 
notamment via un reseau de communication informatique, au dispositif 
demonstrateur. 

Ledit systdme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp&ifie 
ci-dessus. Le dispositif t6moin comporte des moyens de transmission, ci- 
api^ design^s les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. Le dispositif 
d6monstrateur comporte aussi des moyens de transmission, ci-apres designe 
les moyens de transmission du dispositif demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif contrdleur, via les 
moyens de connexion. 

• ^tape 2 : acte de defi d 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir refu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R Le dispositif 
controleur comporte aussi des moyens de transmission, ci-apres designes 
les moyens de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 
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• etape 3 : acte de r^ponse D 

Les moyens de reception des d^fis d du dispositif temoin, re^oivent chaque 
d6fi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des r6ponses D du dispositif 
temoin calculent les reponses D h partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gi, Gj, ... G„„ calculent a 
partir de chaque defi d et de chaque r6ponse D un engagement reconstruit 
R' satisfaisant a vme relation du type : 

R» = G, . G2 ... G„ *" . mod n 

ou k une relation du type, 

R' s / G/^ G2 G„ . mod n . 

Les moyens de comparaison du dispositif contrdleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R refu. 
cas oil le demonstrateur a transmis Pintegralite de chaque engagement 
R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
rintegraUte de chaque engagement R, les moyens de calcul et les moyens 
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de comparaison du dispositif contrdlexir, disposant des m valeurs publiques 
Gi, G2, ... G^, verifient que chaque engagement R satisfait a une relation 
du type : 

R = G/^ G2 ... G„ . D'mod n 

ou a une relation du type, 

R = DVGi . G2 ... G^**" .mod n . 
Cas de la preuve de I'integrite d'un message 

Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le systeme selon T invention est destine a prouver a une 
entite appelee controlexir Tintegrite d'un message M associe a une entite 
appelee demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a 1' entite demonstrateur. Ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d' interconnexion, n peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'xm nndcroprocesseur dans une carte bancaire a microprocesseur. Ledit 
systeme comporte aussi un dispositif controleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de conimiinication informatique, au dispositif 
demonstrateur, 

Ledit systeme execute les etapes suivantes : 

• etape 1 : acte d' engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
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transmettre tout- ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'mterconnexion. 

• 6tape 2 : acte de d^fi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-aprds 
d6signes les moyens de calcul du dispositif demonstrateur, appliquant une 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres design6s les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controlem-. Le dispositif controleur comporte aussi des moyens de 
productions de defis pour produire, apres avoir refu le jeton T, des defis d 
en nombre 6gal au nombre d'engagements R, Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apr6s d^signfe les moyens 
de transmission du dispositif controleur, pour transmettre les d6fis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de r^ponse D 

Les moyens de reception des defis d du dispositif temoin, resolvent chaque 
d6fi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des r^ponses D du dispositif 
t6moin calculent les reponses D a partir des defis d en appUquant le 
processus specific ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des mvaleurs publiques Gi, G^, ... G„, pour d* une 
part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 
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= G/^ G2 ^ . mod n 

ou a une relation du type : 

R' = DVGi^^G2^.,..G„*". modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ay ant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T'. 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au j eton T re^u. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee a 
Tune et/ou a Tautre des deux autres, le systeme selon Tinvention est 
destine a produire la signature mmierique d'un message M, ci apres 
designe le message signe, par une entite appelee entit6 signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D . 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
Tentite signataire. Ledit dispositif signataire est interconnecte au dispositif 
temoin par des moyens d' interconnexion et peat se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseiu: dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes sxiivantes : 

• etape 1 : acte d'engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
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ci-dessus. - . - 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designds les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'interconnexion. 

• ^tape 2 : acta de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R. 

• etape 3 : acte de reponse D 

Les moyens de inception des d6fis d du dispositif temoin, re9oivent chaque 
d6fi d provenant du dispositif signataire, via les moyens d'interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specific ci- 
dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

Operation de contrdle 
Pour prouver I'authenticite du message M, par une entite appelee 
controleur, controle le message signe. 

Le systeme comporte un dispositif controleur associe a I'entite contr61eur. 
Ledit dispositif controleur se pr^sente notamment sous la fomie d'un 
terminal ou d'un serveur distant. Ledit dispositif contr61eur comporte des 
moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
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demonstrateur. . 

Ledit dispositif signataire associe a Tentite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion. Ainsi, le dispositif controleur dispose d'un 
message signe comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D. 

Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le controleur dispose des engagements des defis d, des 
reponses D, 

Dans le cas ou le dispositif controlexir dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = Gj . G2 ... G„ . mod n 
ou a des relations du type : 

R = DVGi^^G2^...;G„'*'". modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

* cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
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D, les moyens. de calcul du dispositif controleur calculent, a partir de 
chaque d6fi d et de chaque r6pqiise D, des engagements R' satisfaisant 

des relations du type : 

R' = Gi Gj G„ mod n 

ou a des relations du type : 

R' = DV Gi . Gj ... G„«^. mod n 
Puis, les moyens de calcul et de comparaison du dispositif controleur verifie 
que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas oil le contrfileur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif contrdleur appliquent la 
fonction de hachage et calculent d' tel que 

d'=h(M,R) 

Puis, les moyens de calcul et de comparaison du dispositif contr61eur 
verifient que les engagements R, les d6fis d' et les reponses D. satisfont a 

des relations du type : 

R = G, - ' . Gj " ... G„ . mod n 

ou a des relations du type : 

R s DV G, . G, " ... G„ . mod n 
Cas ou on choisit la valeur privee Q en premier et oii on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciUter la production des couples de 
valeuis priv6es Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur priv6e Q. Plus 
particuU^rement dans ce cas, le systeme selon I'invention est tel que les 
composantes Q, i , Q, 2 , Qi, f des valeurs privees Q, sont des nombres 
tires au hasard a raison d'une composante Q, j (Qi, j = Qi mod pj) pour 
chacun desdits facteurs premiers Pj. Lesdites valeurs priv6es Q, peuvent 



20 



etre calculees a partir desdites composantes Qi^ i > Qi, 2 ••• Qi, f par la 
methode des restes chinois. Lesdites valeurs publiques G|, sent calculees 
en effectuant des operations du type 

Gi,j= Qi^/modpj. 
puis, en appliquant la methode des restes chinois pour etablir Gj tel que 

G; . Qi"" = 1 . mod n ou Gj s Q/mod n ; 
Ainsi, le nombre d'operations arithmetiques modulo Pi a effectuer poxir 
calculer chacim des G^^ j pour chacim des pj est reduit par rapport a ce qu'il 
serait si les operations etaient efFectuees modulo n. 

Avantageusement dans ce cas, le systeme selon Tinvention est tel que 
Texposant public de verification v est un nombre premier. On demontre 
que la secxuite est equivalente a la connaissance de la valeur privee Q| . 
Cas oil on choisit la valeur publique G en premier et oil on deduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v = 2*' 

ou k est un parametre de secxuite plus grand que 1. Ladite valeur publique 
Gj est le carre ^ d'un nombre de base gj inferieur aux f facteurs premiers 
Pi> P2» ••• Pf • Le nombre de base & est tel que les deux equations : 

x^ = gimodn et x^s-g.modn 
n'ont pas de solution en x dans Tanneau des entiers modulo n et tel que 
Tequation : 

x^sgj^modn 

a des solutions en x dans Tanneau des entiers modulo n . 

Dispositif terminal 
Methode des restes chinois appliquee a la famille GQ 

L'invention conceme aussi un dispositif terminal associe a ime entite. Le 
dispositif terminal se presente notancunent sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire a microprocesseur. Le 
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dispositif terminal est destine a prouver a dispositif controleur : 

- I'authenticite d'une entit6 et/ou 

- rintegrite d'un message M associe k cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou d6rives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, Qm et publiques Gi, Gj, ... 
G„, (m 6tant sup^rieur ou egal ^1), 

- un module public n constime par le produit de f facteurs premiers p„ 
P2, . .. Pf (f etant superieur ou egal k 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont Ues par des relations 
du type : 

G,. Q," s 1 . mod n ou G, s Qg^mod n . 

Ledit dispositif tenninal comprend im dispositif temoin comportant une 
zone memoire contenant les f facteurs premiere p, et/ou les paramdtres des 
restes chinois des factem^ premiere et/ou du modiale public n et/ou les m 
valeure privees Q, et/ou les Im composantes Qu (Qi. j = Qi Pj) 
valeurs priv6es Q,et de I'exposant public v. Le dispositif t6moin comporte 

aussi : 

- des moyens de production d'aleas, ci-apres d6sign6s les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres design6s les moyens de calcul des 
engagements R du dispositif temoin. 

Les moyens de calcul permettent de calculer des engagements R dans 
I'anneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

Ri^ri^modp, 

ou r| est un alea associe au nombre premier pj tel que 0 < < p, , chaque r, 
appartenant a une collection d'aleas {ri , rj , ... r,} produits par les 
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moyens de production d'aleas, puis en appliquant la methode des restes 
chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p., i effectuer pour 
calculer chacun des engagements Rj pour chacun des Pi est reduit par 
rapport a ce qu'il serait si les operations etaient effectu^es modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d, 
chaque defi d comportant m entiers d, ci-apres appeles defis el^mentaires ; 

- des moyens de calcul, ci-aprds designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

Di = r, . Qy . . . . Qmh mod p, 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p, k effectuer pour 
calculer chacune des reponses Dj pour chacun des p, est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R Chaque 
groupe de nombres R, d, D constituant un triplet not6 {R, d, D}. 

Cas de la preuve de Tauthenticit^ d'une entity 
Dans une premiere variante de reaUsation, le dispositif terminal selon 
I'invention est destine a prouver I'authenticite d'tme entite appelee 
demonstrateur k une entity appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associe a I'entite demonstrateur. Ledit dispositif demonstrateur est 
interconnecte au dispositif temoin par des moyens d'interconnexion. II 
pent se presenter notamment sous la fomie de microcircuits logiques dans 
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un objet nomade-par exemple sous la forme d'un microprocessexir dans une 
carte bancaire a microprocesseur.. 

Ledit dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notanunent via un reseau de communication 
infonnatique, aun dispositif controleur associe a I'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif teraiinal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

• etape 2 et 3 : acte de defi d, acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif controleur via les moyens de coimexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
dessus. 

• etape 4 : acte de controle 
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Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controleur qui precede au controle. 

Cas de la preuve de I'integrite d'un message 
Dans line deuxieme variante de realisation, susceptible d'etre combinee 
aux autres variantes de realisation, le dispositif terminal selon Tinvention 
est destine a prouver a une entite appelee controleur Tintegrite d'un 
message M associe a une entite appelee demonstrateur. Ledit dispositif 
terminal est tel qu'il con^Lporte un dispositif demonstrateur associe a T entite 
demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d' interconnexion. H pent se presenter 
notamment sous la forme de microcircmts logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif demonstrateur comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleiir associe a I'entite 
controleur, Ledit dispositif controleur se presente notamment sous la forme 
d'lm terminal ou d'lm serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• ^tape 2 et 3 : acte de d^fi d, acte de reponse 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
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fonction de hachage h ayant comme argiments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
aprds designes les moyens de transmission du demonstrateur, pour 
transmettre chaquejetonT , via les moyens de connexion, au dispositif au 
contrdleur. 

Ledit dispositif controleur produit, apres avoir re?u le jeton T, des defis d 
en nombre egal au nombre d' engagements R. 

Les moyens de reception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appUquant le processus specific ci- 
dessus. 

• £tape 4 : acte de contrdle 

Les moyens de transmission du demonstrateur trarismettent chaque 
r^ponse D au dispositif contrSleur qui procede au contrdle. 

Signature num^rique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisi^me variante de realisation, susceptible d'etre combinee aux 
autres, le dispositif terminal selon I'invention est destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entity appel^e entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a 1' entite signataire. Ledit dispositif signataire est interconnecte au 
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dispositif temGitt par des moyens d'interconnexion. D peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via im reseau de 
commvmication infonnatique, a im dispositif controleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d*un terminal ou d'lm serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, poiu- 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d'interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R poxir calculer xm train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d re?oivent les defis d provenant du 
dispositif signataire, via les moyens d'interconnexion. Les moyens de 
calcul des reponses D du dispositif temoin calculent les reponses D a partir 
des defis d en appliquant le processus specific ci-dessus. Le dispositif 
temoin comporte des moyens de transmission, ci-apres designes les moyens 
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de transmission du dispositif t6moin, pour transmettre les reponses D au 
dispositif signataire, via les moyens d'interconnexion. 

Dispositif contr61eur 
M^bode des restes chinois appMqu^e k toute la famiUe GQ 
L'invention conceme aussi un dispositif controleur. Le dispositif 
controleur peut se presenter notamment sous la forme d'un terminal ou 
d'un serveur distant associ6 a une entite controleur. Le dispositif 
controleur est destine a prouver a un serveur controleur : 

- I'authenticite d'une entite et/ou 

- I'int6grit6 d'un message M associ6 a cette entite. 

Cette preuve est etabUe au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, ... Q™ et publiques G^, Gj, ... 
G„ (m etant superieur ou egal k 1), 

- un module public n constitue par le produit de f facteurs premiers p„ 
P2, ... Pf (f etant superieur ou 6gal ^ 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont Hes par des relations 

du type : 

Gj. Qi" = 1 . mod n ou G| s Qi'mod n ; 

ou Q. d^signe une valeur privee, inconnue du dispositif controleur, 
associee a la valeur publique G, . 

Cas de la preuve de I'authenticite d'une entity 
Dans une premiere variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif contrSleur selon l'invention est destine h 
prouver I'authenticite d'une entite appelee demonstrateur a une entite 
appel6e controleur. 

Udit dispositif controleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagnetiquement, optiquement ou de 
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maniere acoustique, notamment via iin reseau de commumcation 
infonnatique, a un dispositif demonstrateur associe a I'entite 
demonstrateur. 

Ledit dispositif controleurpermet d'executer les etapes sxiivantes : 

• etape 1 et 2 : acte d 'engagement R, acte de defi 
Ledit dispositif controlevircomporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re9u tout ou partie de chaque engagement des 
defis d en nombre egal au nombre d' engagements R, chaque defi d 
comportant m entiers dj , ci-apres appeles defis elementaires, 
Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse, acte de controle 
Le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont repus 
xme partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gj, Gj, ... G^,, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
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R' satisfaisant a lone relation du type : 

R' = Gj.*". ... G„ . mod n 

ou a me relation du type, 

R» = DV Gi Gj G„ . mod n . 

Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re(?u. 
Deuxieme cas : le demonstrateur a transmis IMntegralite de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont re?us 
rint6graUte de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif conti-oleur, disposant des m valeurs publiques 
G„ G2, ... G„, verifient que chaque engagement R satisfait a une relation 
du type : 

R = G/^ Gj ... G„ *" . D^mod n 

ou a une relation du type, 

R = DVGi . Gj*". ... G„ .modn . 
Cas de la preuve de Tintegrite d'un message 

Dans une deuxieme variante de realisation, susceptible d'etire combin6e 
avec les autres, le dispositif contrdleur selon I'invention est destine a 
prouver I'integrite d'un message M associe k une entite appelee 
demonstrateur. 

Ledit dispositif contrdleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infonnatique, a un dispositif demonstrateur associe a l'entit6 
d6monstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi 
Ledit dispositif controleur comporte aussi des moyens de reception de 
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jetons T provenant du demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re?u le jeton T, defis d en nombre egal au 
nombre d' engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires. Le dispositif controleur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
dispositif controleur, pour transmettre les defis d au demonstrateur, via les 
moyens de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de controle 
Le dispositif controleur comporte des moyens de reception des reponses D 
provenant du dispositif demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G^, Gj, ... G^, pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D im engagement reconstruit R' 
satisfaisant a ime relation du type : 

R' = Gi . G2 G^'^.W modn 
ou a xme relation du type : 

R' = DV G, G2 G„ . mod n 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T'. 

Le dispositif controleur comporte aussi des moyens de comparaisoil, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re9u. 

Signature numerique d'un message et preuve de son authenticite 
Dans xme troisieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif controleur selon Tinvention est 
destine a prouver Tauthenticite du message M en controlant, par ime entite 
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appel6e coatroleur, le message signe. 

Le message signe, emis par im.dispositif signataire associe a ime entity 
signataire disposant d'une fonction de hachage h (M, R) ; comprend : 
-le message M, 

- les defis d et/ou les engagements R, 

- les reponse D . 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infonnatique, k xm dispositif signataire associ6 k I'entit^ signataire. Ledit 
dispositif controleur refoit le message signe du dispositif signataire, via les 
moyens de connexion. 
Le dispositif controleur comporte : 

- des moyens de calcul, ci-aprfes d6signes les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apr6s design6s les moyens de 

comparaison du dispositif controleur. 

• cas ou le contrSleur dispose des engagements F, des defis d, des 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif conti-oleur v6rifient que les engagements B, les d^fis d et les 

reponses D satisfont a des relations du type 

R = G/* . G2 G„ mod n 

ou a des relations du type : 

RsD^/Gi''^G2'"....G„*". modn 
Puis, les moyens de calcul et de comparaison du dispositif contr61eur 
verifient que le message M, les d6fis d et les engagements R satisfont la 
fonction de hachage 
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d = h(lVr,R) 

• cas ou le contrdleur dispose des d^fis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des r6ponses 
D, les moyens de calcul du dispositif controleur calcixlent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

= G/^ Gj • . . G„ . mod n 

ou a des relations du type : 

R' = DVGi'*^G2**2_..G^^. modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h(M, R') 

• cas ou le contrdleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h(lV[,R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gi ^'^ . Gj ... G„ ^ . mod n 
ou a des relations du type : . 

R s DV G/ ^ G2 '^'l ... G„ mod n 
Description detaillee de la variante de realisation dans le cas oii 
rexposant public v = 2 
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Description 

Rappelons I'objectif de la technologie GQ : I'authentification dynamique 
d'entites et de messages associes, ainsi que la signature num6rique de 

messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une Equivalence, loin s'en faut, comma le d6montrent 
les attaques dites « multiplicatives » contra diverses normes de signature 
numerique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presents partie de I'invention porte 
plus precis^ment sur riitili--^- r^^- G02 dans le cadre de 

I'authentification dynamique et de la signature numerique. La technologic 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, amaiorer les perfonnances par rapport k la technologie RSA ; d'autre 
part, eviter les problemes inherents a la technologie RSA. La cl6 pnvee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module « : U y a cette fois Equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui contrdle. Grace a un 
meilleur usage du problEme de la factorisation, tant en secunte qu'en 
perfonnance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utiUse mi ou plusieurs petits nombres entiers plus 
grands que 1. disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g,. Les nombres de base etant 6xes de g. a g„ avec m>l, 
une cl6 publique de verification (v, n) est choisie de la maniere suivante. 
L'exposant pubHc de verification v est t ou k est un petit nombre entier 
plus grand que 1 (it > 2). Le module public n est le produit d'au moms deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers (/"> 2) notes parp,, dep. ...p, Les/facteurs premiers sont choisis 



34 



de fagon a ce que le module public n ait les proprietes suivantes par rapport 
a chacun des m nombres de base de a g^. 

- D'une part, les equations (1) et (2) n'ont pas de solution en x dans 
Tanneau des entiers modulo n, c'est-a-dire que g, et sont deux r6sidus 

5 non quadratiques (mod w). 

x^ =gi (mod n) (1) 
x^^-gi (mod n) (2) 

- D'autre part, Tequation (3) a des solutions en x dans Tanneau des entiers 
modulo n. 

10 x^" = gf (mod n) (3) 

La cl6 publique de verification (v, n) etant fixee selon les nombres de base 
de gi a g„ avec m ^ 1, chaque nombre de base g, determine xm couple de 
valeurs GQ2 comprenant une valeur publique G. et une valeur privee g,: 
soit m couples notes de G, i Q„. La valeur publique est le carr6 du 

15 nombre de base g, : soit G, = g*. La valeur privee Q, est une des solutions a 

I'equation (3) ou bien I'inverse (mod n) d'une telle solution. 
De mime que le module n se decompose en / facteurs premiers, I'anneau 
des entiers modxilo n se decompose en / corps de Galois, de CG(p^) a 
CG(p). Voici les projections des Equations (1), (2) et (3) dans CGip). 

20 ^gi {mod pj) (l.a) 

x^=-gi (mod Pj) (2.a) 
j:^* (mod (3.a) 
Chaque valeur privee Q, peut se representer de manidre unique par / 
composantes priv6es, xme par facteur premier : Q,j = Q, (mod j?,). Chaque 

25 composante privee Q,j est une solution a Tequation (3 .a) ou bien I'inverse 

(mod p) d'une telle solution. Apr^s que toutes les solutions possibles a 
chaque equation (3. a) aient ete calcul^es, la technique des restes chinois 
permet d'^tablir toutes les valeurs possibles pour chaque valem- privee a 
partir de /composantes de Q,, a Q. = Restes Chinois (G^„ Q,^, ... 
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de mani^re a obtenir toutes les solutions possibles k 1' Equation (3). 
Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux a et tels que 0 < « < 6, et deux composantes X^deOk 
a-1 etX.deO kb-l ; ii s'agit de d6temuner X= Restes Chinois (A^, X,), 
c'est-a-dire, le nombre unique de 0 a a.b^l tel que X, =X(mod a) et 
X, =X(modb). Voici le parametre des restes chinois :a^{b (mod a)}"' 
(mod a). Voici l'op6ration des restes chinois :e=X, (mod a) ; 8 = X^-€. ; si 
8 est negatif, remplacer 6 par 8+a ; Y s a . 5 (mod d);X=y.b + X,. 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit /7, au plus grand les parametres des restes chinois peuvent etre les 
suivants (U y en a /-I, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a={p, (mod (mod/?,). Le 
second parametre des restes chinois est p s {p,.p, (mod;?,)}-' (mod/?,). Le i 
ifemeparamdtre des restes chinois est {p^.p,. ...p^. (mod;?,)}-' (modp). 
Et ainsi de suite. Ensuite, en/-l operations des restes chinois, on etabUt un 
premier resultat (mod/;, fois /?.) avec le premier parametre, puis, un second 
r6sultat (mod/?,/?, fois p,) avec le second parametre, et ainsi de suite, 
jusqu'aun resultat (mod/?, fois/?;, c'est-a-dire, (modn). 

n y a plusieurs representations possibles de la cle priv6e GQ2, ce qui tradmt 
le polymorphisme de la cU privee GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes k la connaissance de la 
factorisation du module n qui est la veritable cl6 priv6e GQ2. SMa 
..pr^.Pntotion p^^t. hi>n le comnortement de I'entite qui signe ou qm 
c'.»thenrifie. eii^ r^'.ffertP nas le comnortement l'^tit6 qui controle. 
Voici les trois principales represenUtions possibles de la cle privee GQ2. 
i>T. r^r^^etitaticn -i-"q"'' terhnologie GQ consiste k stocker m 
valeurs privees et la cl6 publique de verification (v, n) ; en technologic 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
Jc.nt.tinn onti»^'»i^ termes de charges de travail consiste a stocker 
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I'exposantpubHc v, les/facteurs premiers m./composantes privees et 
f-\ parametres des restes chinois.. 3) La representation optimale en temes 
Hf. faille de cle privee consiste k stocker I'exposant pubUc v, les m nombres 
de base g, et les /facteurs premiers Pj, puis, k commencer chaque utilisation 
en etablissant ou bien m valeurs privees et le module n pour se ramener a 
la premiere representation, ou bien m.f composantes privees et f-\ 
parametres des restes chinois pour se ramener k la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de a g„ 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la s6curit6 du mecanisme d'authentification dynamique ou de 
signature num^rique equivaut a la connaissance d'xme decomposition du 
module, la technologic GQ2 ne pennet pas de distinguer simplement deux 
entites utilisant le mSme module. Gen6ralement, chaque entit6 qui 
s'authentifie ou signe dispose de son propre module GQ2. Toutefois, on 
pent specifier des modules GQ2 quatre facteurs premiers dont deux sont 
connus d'une entite et les deux autres d'une autre. 

Voici un premier jeu de cles GQ2 avec * = 6, soit v = 64, w = 3, soit trois 
nombres de base : ^. = 3, = 5 et = 7, et /= 3, soit un module k trois 
facteurs premiers : deux congrus k 3 (mod 4) et un a 5 (mod 8). Notons que 
g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 
/7, = 03CD2F4F21E0EAD6P266D5CFCEBB6954683493E2E833 
= 0583B097E8D8D777BAB3 874F2E76659BB614F985EC1B 
p^ = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 
n=P, •P^ -P, = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 
02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 
CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 
0, , = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 
O = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 
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, = 6FB3B9e05A03D7CADA9A34255?lEF5ECC54D7A7B6F 
qI = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
q"" = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
0'^ = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
= 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
= 0AE8551E116A3AC089566DFDB3AEO03CF174FC4E4877 
= 01682D490041913A4EA5B80D16B685E4A6DD88070501 
a = D7ElCAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 

82288273ADE67353A5BC316C093 

= 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 

AI)9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 
697238537FE7A0195C5E8373EB74D 

Void un second jeu de cles GQ2, avec * = 9, soit v = 512, « = 2, soit deux 
nombres de base : g. = 2 et = 3, et/= 3, soit un module a trois facteurs 
premiers congrus k 3 (mod 4). 

p =03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
= 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
p = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 

p .^^ = FFFF5401ECD9E537F167A80COA9111986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73AOC49 

761B276A8E6B6977A21D51669D039F1D7 

, = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
Q = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
qI = 02D0B4CC95A2DD435D0E22BFBB29C5941 8306F6CD00A 
= 045ECB881387582E7C556887784D2671CA1 18E22FCF2 
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O, , = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
O = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 

= 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 
EDDA092DPCF108D0AB708405DA46 

= 230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 
Authentification dynamique 

Le mecanisme d'authentification dynamique est destine a prouver a xme 
entite appelee controleur Tauthenticite d'une autre entite appelee 
demonstrateur ainsi que Tauthenticite d'lm eventuel message associe M, 
de sorte que le controleur s'assure qu'il s'agit bien du demonstrateur et 
eventuellement que lui et le demonstratexu* parlent bien du meme message 
M. Le message associe M est optionnel, ce qui signifie qu'il peut §tre vide, 
Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de defi, un acta de reponse et im acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le controleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on pent isoler un temoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du demonstratevu*, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre A: et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon Tune des trois representations evoquees ci-dessus : • les / 
facteurs premiers et les m nombres de base, • les m./composantes privees, 
les/facteiu-s premiers et /-I parametres des restes chinois, • les m valeurs 
privees et le module n. 

Le temoin peut correspondre a ime realisation particuliere, par exemple, 
• une carte a puce reliee i un PC formant ensemble le demonstrateur, ou 
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15 



20 
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encore • des programmes parti<^4rement prot^gfe au sein d'un PC, ou 
encore', • des programmes particulitement prot6g6s sein d'one carte a 
puce Le t&noin ainsi isol6 est semblable an ttooin d6fini ci-apres an sem 
dn signataire. A chaque ex6cution dn m&anisme. le ttooin produit un on 
plnsieurs engagements R, pnis, antant de r6ponses D 4 antant de d6fls d. 
Chaque ensemble {R, d, D) constitue nn triplet GQ2. 
Outre qn'U comprend le temoin, le dSmonstrateur dispose Egalement, le cas 
ech6ant d'nne fonction de hachage et d'un message M. 

conn»leur dispose du module n et des paxam^res * et m ; le cas 6ch4ant. 
il dispose 6galement de la mtaie fonction de hachage et d'mi message M . 
Le conttdleur est apte 4 reconstituer m. engagement 4 partir de n'miporte 
quel d6fi d et de n'importe quelle rdponse D. Les param^tres * et m 
renseignent le contrSleur. Faute d'indication contraire, les m nombres de 
base de g a g sont les m premiers nombres premiers. Chaque d4fi d do.t 
comported m ifls fltoentaires not6s de </, 4 d, : un par nombre de base. 
Chaque defi ataentaire de d, k d. doit prendre une valeur de 0 a 2 -1 (les 
valeurs de v/2 i ne sont pas utili^). Typiquement. chaque defi est 
cod6 par m fois *-l bits (et non pas m fois * bits). Par exemple, avec * = 6 
et m = 3 et les nombres de base 3. 5 et 7. chaque difi comporte 15 tats 
ttansmis sur deux octets ; avec t = 9. m = 2 et les nombres de base 2 e, 3, 
chaque difi comporte 16 bits transmis sur deux octets. Loisque les (*-l).m 
das possibles som Egalement probables, la valeur (t-l).m ddtermme la 
security apportee par chaque triplet GQ2 : un impostenr qui, par defimbon, 
ne connaSt pas la fectorisation du module n a exactement une chance de 
suocfe sur Z--. Lorsque (*-l).m vaut de 15 a 20, un triplet suffit 4 assurer 
raisonnablement rauthentification dynamique. Pour atteindre n'importe 
auel niveau de s&uriti, on peut produire des triplets en paralttle ; on pent 
Egalement en produire en sequence, c'est^dire, ripeter I'exfcubon dn 
mecanisme. 
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1) L*acte d'engagement comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs privees de k Q„ et du module n, 
il tire au hasard et en prive un ou plusieurs al6as r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), il transforme chaque al^a r en un 
engagement /2. 

R^r" (mod«) 
Voici un exemple avec le premier jeu de cl6s avec k = 6. 
r = B8AD426C1 AC0165E94B894AC2437C1B 1797EF562CFA53A4AF8 
43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
919967C3E2FB4B4566088B 

R = FFDP736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
D3 AF07BE692CB 1FE4EE70FA77032BECD84 1 1 B8 1 3B4C2 1 2 1 0C6B04 
49CC4292E5DD2BDB00828AF 1 8 

Lorsque le temoin dispose des / facteurs premiers de 77, a et des m.f 
composantes privees Qy, il tire au hasard et en prive une ou plusieurs 
collections de/al6as : chaque collection comporte un alea r, par facteur 
premier p, (0 < r, < p) ; puis, par k elevations successives au carre (modp), 
il transforaie chaque al6a r. en une composante d* engagement R^. 

Ri^ry (mod;?,) 
Voici im exemple avec le second jeu de cles avec k=9. 
r, = B04 1 8EABEBADF0553 A28903F74472CD49EE8C82D86 
R^ = 022B365FOBEA8E157E94A9DEB0512827FFD5149880F1 

= 75A8DA8FE0E60BD55D28A2 1 8E3 134773 23 39F1D667 
R^ = 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 

= OD74D2BDA5302CF8BE2F6D406249D148C6960A7D27 
/?3 = 06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C 
Pour chaque collection de/composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d' engagements que de collections d'al6as. 
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R = Restes Chinois(i?i, R^* R? 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 

D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C3458D1E37C9 
9123B56446F6C928736B17B4BA4A529 

Dans les deux cas, le d6monstrateur transmet au controleur tout ou partie de 
chaque engagement R, ou bien, un code de hachage H obtenu en hachant 
chaque engagement i? et un message M. 

2) L'acte de defi consiste a tirer au hasard un ou plusieurs defis d 
composes chacun de m d6fis elementaires d, ... chaque defi 

el6mentaire d, prend I'une des valeurs de 0 a v/2-1 . 

d = d,d,...d„ 

Voici un exemple pour le premier jeu de cles avec * = 6 et m = 3. 

J =10110 = 22= '16' = 00111 =7; ^3 = 00010 = 2, 

^ ^ = 0 1 U. 1 UJ I ^3 = 01011000 11100010=58 E2 
Voici un exemple pour le second jeu de cles avec A:= 9 et m = 2. 

^ = ^ j I = 58 E2 = soit en decimal, 88 et 226 
Le contrdleur transmet au d6monstrateur chaque defi d. 
3) L'acte de reponse comporte les op6rations suivantes. 
Lorsque le t^moin dispose des m valeurs privees de kQ^etda module «, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de I'acte 
d'engagement et les valeurs privies selon les defis elementaires. 

D^r.X (mod/i) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 

A2C6A290273479FEC9171990A17 

Lorsque le temoin dispose des / facteurs premiers de p, a p, et des m.f 
composantes privies Q,. U calcule une ou plusieurs coUections de / 
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composantes de reponse en utilisant chaque collection d'aleas de Facte 
d' engagement : chaque collection de composantes de reponse comporte \me 
composante par facteur premier. 

^i^Qil-Qi^i-'Q'm:^ (mod/7,) 
Di = ri.Xi (mod Pi) 
Voici un exemple pour le second jeu de cles. 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 
D, = r,.Q,f .Q,,'^(modp;) = 

04C15028E5FD1 175724376C1 1BE77052205F7C62AE3B 
D, = r,. e./ . Q^/" (niod/73) = 

0903D20D0C306C8EDA9D8FB5B3BEB55E061AB39CCF52 
Pour chaque collection de composantes de reponse, le temoin etablit ime 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(£)„ D^,... D) 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF530F8402BD9C5 1 1F5FB3B3A309257A00 
195A7305C6FF3323F72DC1AB 

Dans les deux cas, le demonstrateur transmet chaque reponse D au 
controleur. 

4) L'acte de contrdle consiste h. contrSler que chaque triplet {R, d, D} 
verifie une equation du type suivant pour une valeur non nuUe . 

RY[Gf'=D^ (mod n) oubien = .J^Gf' (mod /i) 

»=1 i=l 

ou bien, k retablir chaque engagement : auctm ne doit etre nul . 

R'=D^ /fjGf' (mod «) oubien R'=D^ Tl^f' (mod n) 
1=1 /=i 
Eventuellementj le controleur calcule ensuite un code de hachage H' en 
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hachant chaque engagement retabli R' etm. message M'. L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a re^u a 
Tissue de I'acte d'engagement, c'est-a-dire. tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sdquence d'operations 616mentaires transforme la r^ponse 
D en un engagement R'. La sequence comprend k caires (mod n) separes 
par k-l divisions ou multipUcations (mod n) par des nombres de base. Pour 
la / ieme division ou multiplication, qui s'effectue entre le / ieme carre et le 
f+l ieme carr6, le / ieme bit du d6fi el6mentaire d, indique s'il faut utiliser 
g le / ieme bit du defi aementaire indique s'il faut utiliser g,, ... 
jusqu'au i ieme bit du d6fi elementaire d„ qui indique s'il faut utiUser g„. 
Voici un exemple pour le premier jeu de cles. 

(mod n) = FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 
2B93948715491F0EB091B7606CA1E744EO688367D7BB998F7B73D5F7 

FDA95D5BD6347DC8B978CA217733 

3 If (mod/z) = F739B708911166DFE715800D8A9D78FC3F332FF622D 
3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 

987041B4852890D83FC6B48D3EF6A9DF 

3^ (mod n) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF 

8826635790743EA7D9A15A33ACC7491D4A7 

3^ (mod«) = BE9D828989A2C184E34BA8FE0F384811642B7B548F 
870699E7869F8ED851FC3DB3830B2400C516511AOC28AFDD210EC3 

939E69D413F0BABC6DEC441974B1A291 

3^ 5 i)'(modn) = 2B40122E225CD858B26D27B768632923F2BBE5 
DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 

4AC1E89C2235C363830EBF4DB42CEA3DA98CFE00 

3- 53 z)'«(n,odn) = BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397DD 
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B8F6526B6714218DEB627E11FACA4B9DB268 

3" . 5' . 7 . (mod/j) = DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13D02ABOFA5F8C8DDB5025E34282311CEF80BACDCE5DOC433444 

A2AF2B 153 18C36FE2AE02F3C8CB25637C9AD712F 

3"" . 5* . 7' . (modn) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5DO9A2278F8FEE1DFD94EE84D09DO0OEA8633B53C4A0E7FOA 

EECB70509667A3CB052029C94EDF2761 1FAE286A7 

3"" . 5'. 7' . (modn) = DE40CB6B41C01E722E4F312AE7205F18CDD 

0303EA52261CBOEA9FOC7EOCD5EC53D42E5CB645B6BB1A3BOOC77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

3^" . 5'\ 7* . (mod «), c'est-^-dire, 3"*" . 5^ . 7" . D*" (mod ri) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB 1FE4EE70FA77032BECD841 1B8 13B4C 

2121 OC6B0449CC4292E5DD2BDB00828AF1 8 

On retrouve bien T engagement!?. L'authentification est reussie. 

Voici un exemple pour le second jeu de cl6s. 

(mod n) = C66E585D8F132F7067617BC6D00BA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 
693F8395ACEF9206B 1 72A8A2C2CCBB 

3 . If (mod n) = 534C61 14D385C3E15355233C5BOOD09C2490D1B8D8E 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 
1D6D138F3999FC1D06A2B2647D48283 

3\D* (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C4231AC9B1EBD93D5D49422408E47 
1 59 1 9023B 1 6BC3C6C46A92BBD326AADF 

2.3\D' (mod/i) =FB2D57796039DFC4AF9199CAD44B66F257A1FF 

3F2BA4C12B0A8496A0148B4DFBAFE838E0B5A7D9FB4394379D72A 

107E45C51FCDB7462D03A35002D29823A2BB5 

2' . 3' . D' (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 
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6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1A0D5A721A1890D03A00BD8 

f 3' 2)«(xnod«) = E4632EC4FE4565FC4B3126B15ADBF996149F2D 
BB42F65D911D3851910FE7EA53DABA7EE7BA8FE9D081DB78B249 

B1B18880616B90D4E280F564E49B270AE02388 

t 3'^ £)'*(mod«) = ED3DDC716AE3DlEA74C5AF935DE814BCC 

2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C17C399607DEA54E218C2C01A890D422EDA16FA3 

2^ 3- 2)-(mod«) = DA7C64E0E8EDBE9CF823B71AB13F17E1161487 

6B000FBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562D0F5 

7AE94AE0AD3F35C61C0892F4C91DC0B08ED6F 

2- 3- /)«(modn) = 6ED6AFC5A87D2DD117B0D89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D 

722F17DA30088E6E739FBC419FD7282D16CD6542 

2" 3- 2)«(mod«)=DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB1ECB6D432CFCC40FA95B77464003A705146AOD364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

2" 3^* i)**(inodn) = A466D0CB17614EFD961000BD9EABF4F021 

36F8307101882BC1764DBAACB715EFBF5D8309AE001EB5DEDA 

8F000E44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

2^ 3'« D'"(mod/i) = 925B0EDF5047EFEC5AFABDC03A830919761 

B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

2^ 3'" z)'^(mod«) = B711D89C03FDEA8DlF889134A4F809B3F2D 

8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 

BFB912A04F11D9DB9D076021764BC4F57D47834 

2.S ^«6(^Qdn) = 41A83F119FFE4A2F4AC7E5597A5D0BEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 

FCC628021B4648D7EF757A3E461EF0CFF0EA13 
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2176 ^52 (^od soit 4'' . 9"^ . D''' (mod n) = 28AA7F12259BFBA8 
1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FC0F9D 
AC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA 
4A529 

On retrouve bien rengagement R. L'authentification est reussie. 
Signature numerique 

Le mecanisme de signature numerique permet a une entite appelee 
signataire de produire des messages signes et a ime entite appelee 
controleur de verifier des messages signes. Le message Af est une sequence 
binaire quelconque : il peut etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les reponses correspondantes. 
Le controleur dispose de la meme fonction de hachage, des parametres k et 
m et du module n. Les parametres A et m renseignent le controleur. D*ime 
part, chaque defi elementaire, de a d^, doit prendre xme valeur de 0 i 2*" - 
1 (les valeurs de v/2 a v-1 ne sont pas utilisees). D'autre part, chaque defi d 
doit comporter m defis elementaires notes de d^ k autant que de nombres 
de base. En outre, faute d' indication contraire, les m nombres de base, de 
a g^, sont les m premiers nombres premiers, Avec (k-l).m valant de 15 a 20, 
on peut signer avec qxiatre triplets GQ2 produits en parallele ; avec (k-l).m 
valant 60 ou plus, on peut signer avec un seul triplet GQ2. Par exemple, 
avec A: = 9 et m = 8, un seul triplet GQ2 suffit ; chaque defi comporte huit 
octets et les nombres de base sont 2, 3, 5, 7, 11, 13, 17 et 19. 
L'operatioii de signature est viae sequence de trois actes : xm acte 
d' engagement, un acte de defi et un acte de reponse. Chaque acte produit im 
ou plusieurs triplets GQ2 comprenant chacim : im engagement R 0), xm 
defi d compose de m defis elementaires notes par J,, d^, ... d^ et une 
reponse D (^t 0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
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priv^e GQ2, c'est-i-dire, <te la factorisation du module n seloa I'une des 
trois reprfaenmtiom ivo<pfe ci,dess«s. Au seta du signatalre, on pert 
isoler »n timota q»i e^faute les actes d'engagement et d. rfp.ose, de 
mamtee i isoler les fonctioos et les param^tres les plus seusibles du 
d^moostrateur. Pour calculer engagements et r^ponses, le tdrnoin dispose du 
paramitre * et de la ol6 privie GQ2, c'est-i-diie, de la factorisaOon du 
module n selon Tune des trois reprfeentations 6voqu6es ci-dessus. Le 
ttooin ainsi isole est semblable au ttooin difini au sein du dimonstrateur. 
n peut correspondie i une r6alisation particuliere, par exemple. • une carte 
4 puce reUte 4 un PC fonnant ensemble le signataire, ou encore, • des 
programmes particuU^ent protiges au sein d'un PC, ou encore, • des 
prograrmnes particuli^rement prot4g6s au sein d'une carte 4 puce. 
» L'acte d'engagement comprend les operations suivantes. 
Lorsque le t6moin dispose des m valeurs privies de fi, 4 fi. du module n, 
U tire au hasard e, en priv6 un ou plusieurs alias r (0 < r < «) ; puis, par * 
aivations successives au carri (mod n), il transforme chaque al6a r en un 
engagement R. 

Rsr^ (modn) 

Lorsque le temoin dispose des / facteurs premiers de p. k p, et des m.f 
composantes privies Q,. U tire au hasard et en priv6 une ou plusieurs 
collections de/aleas : chaque collection comporte un al6a r, par facteur 
premier;,, (0 < <p^ ; puis, par k elevations successives au carre (modp,). 
il transfonne chaque alea r, en une composante d'engagement 

Ri = ry (mod Pi) 

Pour chaque collection de/ composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d'aleas. 

R = Restes Chinois(/2„ R,, ... R) 
2) L'acte de d« consiste 4 hacher «>us les engagements R et le message 4 
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signer M pour obtenir un code de hachage a partir duquel le signataire 
forme iin ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire prend une valeiir de 0 a v/2-1 ; par exemple, avec 
A: = 9 et m = 8, chaque defi comporte huit octets. II y a autant de defis que 
d' engagements. 

d^d^ ^2 • • • ^xtraits du resultat Hash(M, R) 
3) L'acte de reponse comporte les operations suivantes. 
Lorsque la temoin dispose des m valeurs privees de Q^ k et du module 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d' engagement et les valeurs privees selon les defis elementaires. 

X^Qt'.Qi'...Qt (mod/2) 
D^rX (modAi) 

Lorsque le temoin dispose des / facteiars premiers de /7| a et des m./ 
composantes privees g^., il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de l'acte 
d'engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

^/^eft-e2j"-G;J:; (mod/.,) 

Z), =Aj.X, (mod/?,.) 
Pour chaque collection de composantes de reponse, le temoin etablit ime 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

= Restes Chinois(Z)p Z)^, ... Z);) 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-a-dire, chaque engagement R, chaque 
defi d et chaque reponse A 

ou bien, chaque engagement R et chaque reponse D correspondante, 
ou bien, chaque defi d et chaque reponse D correspondante. 
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Le d«r««lement de l'«p4ratl.n de viriflcation depend du cottenu de 
I'appendicede signature. On distingue lestroiscas. 
A» cas 06 1'appendice cmprend un ou ptasieurs triplets, l-op6rat.on de 
oontreie comporte deux processus indipendants dont la chronologie est 
todifffaente. contr61eur accepte le message signd si et seulement s. les 
deux conditions suivantes sent rempUes. 

D-une part, chaque triplet doit ftre coherent (une relation approprxee du 
type suivant doit Stre v4rif.6e) et recevable (la compaiaison do.t se fa.re sur 
line valeur non nuUe) . ^ 

R.flGf-^D^'(modn) oubien R ^ D"' ^Gf^ (P^oi n) 

Par exlple, on txansfonne la reponse D par une sequence d'opirations 
ataientaires : . carr^s (mod .) sipares par k-l muWpUcations ou dtv«.ons 
(mod «) par des nombres de base. Pour la .■ itate multiplication ou drv.10^ 
qui s-effecme entre le i*me carr6 et le .« itoe carr6. le / ieme bu du defl 
Lmentaire rf, indique s'U feu, utiliser g,. le .• iime bit d« d6fl a^menta^ 
indique s-il faut utiUser jusqu'au / i^me bit du d6fl atoentaire d. qu. 
indique s-a feut utiliser g,. On doit ainsi retrouver chaque engagement R 
prtsent dans rappendicede signature. „ u t . 

D-autre part, le ou les triplets doivent etre life au message M. En hachant 
tons les engagements R et le message M, on obtient un code de hachage a 
partirduquel on doit retrouver chaque defid. 

j^j d d identiquesiceuxextiaitsdur6sultatHash(M,fi) 

A» cas oi Pappendice ne comprend pas de difi. I'op^ration de contrMe 
commence par la reconstimtion de un ou plusieurs d6fis d' en hachant tons 

les engagements R et le message M. 

d' = d' d' d' , extraits du resultat Hash(Af, R) 
Eusuite. le contr51e» Iccepte'le message signe si et seulement si chaque 
ttiple. est coherent (une relation appropri6e du type suivant est venfiee) et 
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recevable (la comparaison se fait sur vine valeur non nulle). 




Au cas oil Tappendice ne comprend pas d'engagement, roperation de 
controle conunence par la reconstitution de xin ou plusieurs engagements R ' 
selon line des deux formules sidvantes, celle qui est appropriee. Aucun 



Ensuite, le controleur doit hacher tons les engagements /?' et le message M 
de fa?on a reconstituer chaque defis d. 

d= d^, identiques a ceux extraits du resultat Hash(A/, R 

Le controlexir accepte le message signe si et seulement si chaque defi 
reconstitue est identique au defi correspondant figurant en appendice. 



Dans la presente demande, on a montre qu'il existait des couples de valeurs 
privee Q et publique G permettant de mettre en oeuvre le procede, le 
systeme et le dispositif selon Tinvention destine a prouver Tauthenticite 
d'une entite et/ou Tintegrite et^ou Tauthenticite d'lm message, 
Dans la demande pendante deposee le meme jo\ir que la presente demande 
par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit \m procede pour 
produire des jeux de cles GQ2, a savoir, des modules n et des couples de 
valeurs publique G et privee Q dans le cas ou Texposant v est egal a 2*. EUe 
est incorporee ici par reference. 



engagement retabli ne doit etre nul. 
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Cette description d6taill6e de rinvention d^ns le cas ovi v - 2 est 
susceptible d'etre gtotolis^e h d'autres vale«« de v. C'est d'ailleurs oc qu. 
a et^ exposi. en contrepoint aux revendications, dans les premieres pages de 
description concemant le cas o« v est different de t. Pour autan. que cela 
soit n&essaire. notatnment pour des raisons ressortant des regies d eortture 
d-une demande de brevet, et qu'U faille egalement dans cette parte de la 
description expliciter I'invention dans le cas ou v est different de 2. les 
premises pages de la description seront Egalement supposees avoir ete 
inserees i la suite de ce paragraphe. 
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Revendications 

1- Precede destine a prouver a una entite controleur, 

- rauthenticite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q2, ... et publiques Gj, Gj, ... 
Gm (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
p„ P2, • . . Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Gj . s 1 . mod n ou Gj = Qj^'mod n ; 
ledit precede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers pj et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qj et/ou des f.m composantes Qj^ j (Qj^ j = Q. mod p.) des valeurs 
privees QiCt de 1' exposant public v ; 

- le temoin calcule des engagements R dans Tanneau des entiers 
modulo n ; chaque engagement etant calcule en effectuant des operations 
du type 

Rj = ri^modpj 

ou Fi est xm alea associe au nombre premier pj tel que 0 < < pj , chaque Tj 
appartenant a une collection d'aleas {rj , Fj , r^} , puis en appliquant la 
methode des restes chinois, 

- le temoin re9oit un ou plusieius defis d ; chaque defi d comportant 
m entiers d^ ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d ime reponse D en effectuant des operations du type : 

Di ^ • Qu • Qi^ • • • Qi,m mod R 
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puis en appliquant la m^thode des restes chinois ; 

ledit precede etant tel qu'il y a autant de reponses D que de d6fis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un 

triplet not€ {R, d, D}. 

2. Precede selon la revendication 1 destine a prouver 1' authenticity 
d'une entite appelee d^monstrateur a une entite appelee controleur, ladite 
entity demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les 6tapes suivantes : 

• etape 1 : acta d'engagement R 

- k chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus sp6cifie selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• ytape 2 : acte de d^fi d 

- le contrdleur, apres avoir re^u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d'engagements R et 
transmet les defis d au demonstrateur, 

• etape 3 : acte de r^ponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1, 

• etape 4 : acte de contr6Ie 

- le demonstrateur transmet chaque reponse D au controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gi, Gj, ... 
G„, calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' =Gi . Gj ... G„*" .D^ mod n 
ou a yms relation du type. 
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R' = D V G/^ G2 ^. . . • ^ . mod n , 
le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
^as ou le demonstrateur a transmis I'integralite de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis Tint^gralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gj, G2, ... 
G^, verifie que chaque engagement R satisfait a xme relation du type : 

R = G/* • G2 ... G„ . D^mod n 
ou a une relation du type, 

R = D V G/^ G2 ^. . . . G„ ^ . mod n . 
3. Procede selon la revendication 1 destine a prouver a une entite 
appelee controleur Tintegrite d'un message M associe a ime entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un j eton T, 

- le demonstratexu- transmet le jeton T au controleur, 

- le controleur, apres avoir re?u im jeton T, produit des defis d en nombre 
egal au nombre d'engagements R et transmet les defis d au demonstrateiu", 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 
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- le demonstxateur transmet chaque r6ponse D au controleur, 

-le controleur, disposant des m valeurs publiques G„ G^, ... G„, calcule a 
partir de chaque d6fi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G/' . G2 ... G„ . D^modn 

ou a une relation du type : 

R' =DV Gi . Gj ... G„*» . mod n 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T% 

- puis le contrSleur verifie que le jeton T' est identique au jeton T transmis. 

4. Procede selon la revendication 1 destm^ a produire la signature 
num^rique d'un message M par une entite appelee entity signataire, ladite 
entite signataire comprenant le t6moin ; 

ladite entite signataire execute une operation de signature en vue 
d'obtenir vtn message sign^ comprenant : 

- le m^sage M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ladite entit6 signataire execute 1' operation de signature en mettant en 

oeuvre les etapes suivantes : 

• etape 1 : acte d'engagement R 

- k chaque appel, le temoin calcule chaque engagement R en appUquant le 
processus sp&;ifi^ selon la revendication 1, 

• etape 2 : acte de d€G d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d' engagements R, 
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• etape 3 i acte de reponse D 
- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1. 

5. Precede selon la revendication 4 destine a prouver I'authenticite 
du message M en controlant, par iine entite appelee controleiu-, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 

• cas oil le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le contrdleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = Gi^^G2^.•,.G„'*™,D^modn 
ou a des relations du type : 

R = DVG/^G2'"....G^<»-. modn 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

dans le cas ou le controleur dispose des defis d et des reponses D, 

• • le controlein- reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 

R' = Gi " . G2 ^. ... G„^. D^modn 
ou a des relations du type : 

R' = DVGi^*.G2^....G^^. modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 
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d = h(M,R') 

• cas oik le controleur dispose des engagements R et des r6ponses D 

dans le cas ou le controleur dispose des engagements R et des reponses D, 
. • le contrdleur appUque la fonction de hachage et reconstruit d» 

d'=h(M,R) 

. . le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R = Gi . G2 " . . . . mod n 

ou a des relations du type : 

R = DVGi''^G2''^...G„'*'™. modn 

6. Proc6de selon Tune quelconque des revendications 1 a 5 tel que 
les composantes Q,, , Q.,2 , - Qi,f des valeurs privies Q, sent des nombres 
tires au hasard a raison d'une composante Q, j (Qi. j = Qi mo** Pj) P^"^ 
chacun desdits facteurs premiers Pj, lesdites valeurs privees pouvant 
etre calcul6es a partir desdites composantes Q,. j , Q,, 2 — Qi. f pa^ 1^ 
methode des restes chinois, 

lesdites valeurs publiques Gj, etant calculees 

• en effectuant des operations du type 

G,.js Qj^j^modpj 

• puis en appUquant la m6thode des restes chinois pour etablir G, tel que 

Gi- Qi'' = 1 . mod n ou G, s Q*mod n ; 

7. Procede selon la revendication 6 tel que I'exposant public de 
verification v est un nombre premier, 

8. Procede selon Tune quelconque des revendications 1 k 5 
ledit exposant v etant tel que 

V = 2" 

ou k est im parametre de securite plus grand que 1 ; 

ladite valeur publique G, 6tant le carre g,^ d'un nombre de base & inferieur 
aux f facteurs premiers p^, p^, ... Pr ; le nombre de base g, etant tel que : 
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les deux eqxiations : 

x^ = gimodii et x^ = -gmodii 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

Tequation : 

x"" = mod n 

a des solutions en x dans I'anneau des entiers modulo n . 

9. Systeme destine a prouver a un serveur controleur, 

- Tauthenticite d'lme entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de cexix-ci: 

- m couples de valeurs privees Qi, Q2, ... et publiques G„ Gj, ... 
G„ (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi9 P2> Pf (f ^tant sup6rieur ou egal a 2), 

- im exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant li6s par des relations du 
type : 

Gj . Qi^ = 1 . mod n ou Gj = Qj^'mod n ; 
ledit systeme comprend im dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous Ja forme d'xme carte bancaire 
a microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
premiers pj et/ou des parametres des restes chinois des facteurs premiers 
et^ou du module public n et/ou des m valeurs privees Qj et/ou des £m 
composantes Qi^j (Qj^j = Qimod pj) des valeurs privees Q, et de Texposant 
public v; 

le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
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production d'al6as du dispositiftemoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
I'anneau des entiers modulo n ; chaque engagement etant calcule en 

5 effectuant des operations du type 

R.srj^modpi 

ou rjcst un alea associe au nombre premier p, tel que 0 < < ft , chaque r, 
appurtenant a une collection d'aleas {r, , , ... rj produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 

10 chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m entiers dj ci-apres appeles defis 

15 elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque d6fi d une 
reponse D en effectuant des operations du type : 

20 puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

fl y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

10. Systeme selon la revendication 9 destine a prouver I'authenticite 
d'une entite appelee demonstrateur a une entity appelee controleur ; 
ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a I'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
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moyens d'interconnexion et pouvant se presenter notaroment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a I'entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 

- le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion ; 

• etape 2 : acte de defi d 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur. 
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• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif d^monstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif t6moin calculent les 
reponses D a partir des defis d en appliquant le processus specifi6 selon la 
revendication 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur 

le dispositif controlevir comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur, 

cas oil le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du d6monsti^teur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
contrdleur, disposant des m valeurs publiques Gj, Gj, ... G„, calculent a 
partir de chaque defi d et de chaque r6ponse D un engagement reconstruit 

R' satisfaisant k une relation du type : 

R' = Gi Gj G„ mod n 

ou a une relation du type, 

R' = DV G, G, G„ mod n , 

les moyens de comparaison du dispositif conti-oleur comparent chaque 
engagement reconstiuit R' a tout ou partie de chaque engagement R re^us, 
cas ou le demonstrateur a transmis l'integraUt6 de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
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rintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeiirs publiques 
Gi5 G^, verifient que chaque engagement R satisfait a ime relation 

du type : 

R = Gi . G2 ... G^^ . D^modn 

ou a une relation du type, 

R = D V G/^ G2 ^. . . . G„ . mod n . 

11. Systeme selon la revendication 9 destine a prouver a une entite 
appelee controleur I'integrite d'lm message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a Tentite demonstrateur, ledit 
dispositif demonstrateur etant intercoimecte au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans im objet nomade par exemple sous la 
forme d'un microprocesseur dans xme carte bancaire a microprocesseur, 

- im dispositif controleur associe a T entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'lm terminal ou d'un 
serveur distant ; ledit dispositif controlexir comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via im reseau de 
commimication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 



63 



tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

• ^tape 2 : acte de deh d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
design6s les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
contrdleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir refu le jeton T, les defis d en nombre egal au 
nombre d'engagements R , 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif contrdleur, pour 
transmettre les d6fis d au demonstrateur, 

• etape 3 : acte de r^ponse D 

les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D apartir des defis d en appliquant le processus specific selon la 
revendication 9, 

• etape 4 : acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 

D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
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valeurs publiques Gi, Gj, ... G^, pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D xm engagement reconstruit R' 
satisfaisant a une relation du type : 

= G/^ G2 ^. . . . G^ . mod n 
ou a une relation du type : 

R'^D^/G/^Gj^. ...G„^. modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re9u. 

12. Systeme selon la revendication 9 destine a produire la signature 
numerique d'xm message M, ci apres designe le message signe, par une 
entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte vm dispositif signataire associe a 
Tentite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d'interconnexion et pouvant se presenter 
notanmient sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans xine carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
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selon la revendication 9, 

le dispositif t6mom comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d' interconnexion; 

• etape 2 : acte de deli d 
le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre 6gal au nombre d' engagements R, 

• etape 3 : acte de reponse D 
les moyens de reception des defis d , re9oivent chaque defi d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D apartir des defis d en appliquant le processus sp6cifi6 selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres d6signes 
les moyens de transmission du dispositif tdmoin, pour transmettre les 
20 reponses D au dispositif signataire, via les moyens d'interconnexion. 

13. Systeme selon la revendication 11 destine a prouver 
l'authenticit6 du message. M en contrSlant, par une entite appelee 
controleur, le message signe; 

ledit systeme etant tel qu'U comporte un dispositif controleur associ6 a 
25 I'entite contrdleur ; ledit dispositif controleur se presentant notamment 

sous la fomie d'un terminal ou d'un serveur distant ; ledit dispositif 
contr61eur comportant des moyens de connexion pour le connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique, notamment via un reseau de communication infoimatique, au 
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dispositif demonstxateur ; 

ledit dispositif signataire associe a I'entite signataire comporte des moyens 
de transmissioii, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant: 
- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-aprds designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = Gi G2 ^ • mod n 

ou a des relations du type : 

R = DVG/^G2^..-.G^**". modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas oil le controleur dispose des defis d et des reponses D 
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dans le cas ou le dispositif controleur dispose des defis d et des r6ponses D, 

• • les moyens de calcul du dispositif controleur calculent, k piartir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 

des relations du type : 

R' = Gi *" . G2 G„ mod n 

ou k des relations du type : 

R' =DV Gi G2 ... G„ «^ . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas ou le controleur dispose des engagements R et des r^ponses D 

dans le cas oii le dispositif contrdleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d'=h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
v^rifient que les engagements R, les d^fis d' et les r6ponses D, satisfont a 

des relations du type : 

R = G/*» . Gj G„ mod n 

ou a des relations du type : 

R = DV Gi G2 "'^ ... G„ mod n 

14. Systeme selon I'une quelconque des revendications 9 a 13 tel 
que les composantes Q,, , , Q,, 2 , Qt, f des valours privees Q,, sont des 
nombres tir6s au hasard h raison d'une composante Qj j (Qu = Qi Pp 
pour chacun desdits facteurs premiers Pj, lesdites valours privees Q, 
pouvant etre calculees a partir desdites composantes Qj, , , Q,, 2 • • • Qi, f par 
la m^thode des restes chinois, 
lesdites valeurs pubhques Gj, etant calculees 
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• en effectuant des operations du type 

Gi,jP Qi,/modpj 

• puis en appliquant la methode des restes chinois pour etablir G| tel que 

Gj . Qi^ = 1 . mod n ou Gi = Qi"" mod n ; 
15- Systeme selon la revendication 14 tel que I'exposant public de 
verification v est xin nombre premier, 

16. Systeme selon Time quelconque des revendications 9 a 13 
ledit exposant v etant tel que 

v = 2'' 

ou k est un parametre de securite plus grand que 1 ; 

ladite valexir publique G^ etant le carre g-^ d'lm nombre de base a inferiexir 
aux f facteiirs premiers pj, P2, • • • Pf ; le nombre de base etant tel que : 

les deux equations : 

x^ = gimodn et x^ = -gimodn 
n'ont pas de solution en x dans Fanneau des entiers modido n 
et tel que : 

Tequation : 

x^ = gi^ mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

17. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'lm objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a dispositif controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'xm message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Qj, Qm et publiques Gj, Gj, 
(m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pij P29 Pf ^t^t superieur ou egal a 2), 
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- Tin exposant public v ; 

ledit module, ledit exposant at lesdites valeurs etant lies par des relations du 

type: 

Gi . Qi'' = 1 . mod n ou G| s Q,* mod n ; 
ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers p, et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module pubUc n et/ou des m 
valeurs privees Qj et/ou des f.m composantes Qj, j (Qi, j = Q, mod pj) des 
valeurs privees Qs et de I'exposant public v ; 
le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif t6moin, 

- des moyens de calcul, ci-apres d6sign6s les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
I'anneau des entiers modulo n ; chaque engagement 6tant calcule en 
effectuant des op6rations du type 

R,5r,^modp, 

oil Ficst un alea associe au nombre premier p, tel que 0 < Fj < ft , chaque r, 
appartenant a une collection d'aleas {r, , , ... produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres d6sign6s les moyens de 
reception des d6fis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque d6fi d comportant m entiers dj ci-apres appel6s d6fis 
61ementaires ; 

- des moyens de calcul, ci-apr6s d6signes les moyens de calcul des 
r^onses D du dispositif temoin, pour calculer k partir de chaque defi d une 
reponse D en effectuant des operations du type : 
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I>i = r. . Qy Qi^ . Qi^ mod Pi 

puis, en appliquant la metiiode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs repbnses D ; 

il y a autant de reponses D que de defis d que d'engagements R, cheque 
groupe de nombres R, d, D constituant ^m triplet note {R, d, D}. 

18. Dispositif terminal selon la revendication 17 destin^ a prouver 
I'authenticite d'une entite appelee demonstrateur a une entite appelee 
contr61eur ; 

ledit dispositif terminal 6tant tel qu'il comporte un dispositif demonstrateur 
associe a I'entit^ demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notanmient sous la forme de microcircuits logiques 
dans vm objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de coimexion pour 
le connecter eiectriquement, 61ectromagnetiquement, optiquement ou de 
maniere acoustique, notamment via im r6seau de commimication 
infoimatique, k un dispositif controleur associ6 k Tentitd contrdleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'lm terminal 
ou d'un serveur distant ; 

ledit dispositif terminal peimettant d'executer les etapes suivantes : 
• etape 1 : acte d*engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 



71 



moyens d' interconnexion ; 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
contrSleur, via les moyens de connexion, 

• 6tape 2 et 3 : acte de defi d, acte de r^ponse D 

les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif contrdleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 17, 

• ^tape 4 : acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au contrdle. 

19. Dispositif terminal selon la revendication 17 destin6 k prouver k 
une entite appel6e controleur I'integrite d'un message M associ6 a une 
entite appelee demonstrateur, 

ledit dispositif tenninal etant tel qu'il comporte un dispositif demonstrateur 
associe a I'entite demonstrateur, ledit dispositif demonstrateur 6tant 
interconnecte au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous ia forme d'un microprocesseur 
dans ime carte bancaire a microprocessexu", 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, eiectromagnetiquement, optiquement ou de 
maniere acoustique, notamment via im reseau de communication 
informatique, a un dispositif controleur associe a 1' entite controleur ; ledit 
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dispositif controlexir se presentant notamment sous la forme d'lin terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateiir, via les 
moyens d* interconnexion ; 

• etape 2 et 3 : acte de defi d, acte de reponse 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcxil du dispositif demonstrateur, appliquant 
fonction de hachage h ayant cormne arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins xm jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateiir, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, yia les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D apartir des defis d en appliquant le processus specific selon la 
revendication 17, 

• etape 4 : acte de contrdle 

les moyens de transmission du demonstratexir transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 
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20. Dispositif terminal selon la revendication 17 destine a produire la 
signature num^rique d'un message M, ci apres design^ le message sign6, 
par une entite appelee entite signataire, 
le message sign6 comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a I'entite signataire, ledit dispositif signataire 6tant interconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
parexemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infoimatique, a un dispositif controleur associe a l'entit6 contrdleur ; ledit 
dispositif controleur se pr6sentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 

k chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 17, 

le dispositif temoin comporte des moyens de transmission, ci-aprds designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d' interconnexion; 

• etape 2 : acte de d^fi d 
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le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 
les moyens de reception des defis d regoivent les defis d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

22, Dispositif controleur, se presentant notamment sous la forme 
d'lm terminal ou d'lm serveur distant, associe a une entite controleur, 
destine a prouver a un serveur controleur, 

- I'authenticite d'xme entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q2, .... et publiques Gj, Gj, ... 
Gn, (m etant superieur ou egal a 1), 

- xm module public n constitue par le produit de f facteiirs premiers 
Pi5 P25 ••• Pf ^tant superieur ou egal a 2), 

- im exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Gj. Qi^ = 1 . mod n ou G| = Qi^mod n ; 

ou Qi designe ime valeur privee, inconnue du dispositif contr61e\ir, 
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associee a la valeur publique Gi . 

23. Dispositif controlexir selon la revendication 22 destind k prouver 
Tauthenticite d'une entite appelee demonstratexir a une entit6 appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion poxir le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via xm reseau de communication 
infomiatique, a im dispositif demonstrateur associe a T entite 
demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

• ^tape 1 et 2 : acte engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir regn tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R, chaque defi d 
comportant m entiers dj , ci-apres appeles defis elementaires 
le dispositif controleur comporte aussi des moyens de transmission, ci-apr6s 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse, acte de contrdle 
le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstratem*, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 



76 



cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de reception du dispositif controleur ont re?us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gj, G^, ... G„, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G/^ G2 . . . G„ ^ • mod n 
ou a tme relation du type, 

R' = DVG/^G2'^....G^^.modn, 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' k tout ou partie de chaque engagement R re?us, 
cas ou le demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans le cas ou les moyens de reception du dispositif controleur ont re?us 
rintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gj, Gj, ... Gn,, verifient que chaque engagement R satisfait a ime relation 
du type : 

R = G/* . G2 ^. ... G„ . D^mod n 

ou a une relation du type, 

R = D V Gi G2 . . . G„ . mod n . 

24. Dispositif controleur selon la revendication 22 destine a prouver 
rintegrite d'lm message M associe a une entite appelee demonstrateiu:, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de conmnmication 
informatique, a un dispositif demonstrateur associe a T entite 
demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 
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• etapes 1 et 2 : acte d'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du demonstrateur, via les moyens de connexion, 
le dispositif contrSleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re9u le jeton T, des defis d en nombre egal au 
nombre d' engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse D, acte de controle 
le dispositif controleur comporte aussi : 

- des moyeiis de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

le dispositif contr61eur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif contrdleur, disposant des m valeurs publiques Gi, Gj, ... G„, pour 
d'une part, calculer a partir de chaque defi d et de chaque r6ponse D un 
engagement reconstruit R' satisfaisant k une relation du type : 

R' = G, " . Gj . . . G„ *" . mod n 

ou a une relation du type : 

R' s D^/ G, Gj G„ . mod n 

puis d'autre part, calculer en appliquant la fonction de hachage h ayant 

comme arguments le message M et tout ou partie de chaque engagement 

reconstruit R', un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T repu. 

25. Dispositif controleur selon la revendication 22 destine a prouver 
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Tauthenticite dti message M en controlant, par vme entite appelee 
controleur, le message signe; 

le message signe, emis par im dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprenant: 

- le message M, 

- les defis d et/ou les engagements 

- les reponse D ; 

ledit dispositif controleur comportant des moyens de connexion pour le 

connecter electriquement, electromagnetiquement, optiquement ou de 

maniere acoustique, notamment via un reseau de coromunication 

informatique, a un dispositif signataire associe a 1' entite signataire ; 

ledit dispositif controleur ayant refu le message sign6 du dispositif 

signataire, via les moyens de connexion, 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
veiifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = G2 ^ . mod n 

ou a des relations du type : 

R = DVG/*.G2'*^..-.G„^. modn 

• • les moyens de calcul et de comparaison du dispositif controlem* 
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verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d-h(M,R) 

• cas ou le contrdleur dispose des defis d et des r^ponses D 

dans le cas ou le dispositif controleur dispose des d^jQs d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = G/* . G2 ^. . . . G„ . mod n 

ou a des relations du type : 

R'=D^/G/^G2'^....G^*"- modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas oil le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gi . G2 ... " . mod n 
ou a des relations du type : 
R = DVG/^G2^^...G^^'"*. modn 
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